Un ex-employé de Twitter révèle des failles de sécurité béantes

Un ex-employé de Twitter révèle des failles de sécurité béantes
Réglementaire

Recruté comme chef de la sécurité de Twitter fin 2020, licencié en janvier 2022 pour performances insuffisantes, Peiter Zadko (alias « Mudge ») a transmis à plusieurs agences gouvernementales un inquiétant état des lieux des manquements à la sécurité du réseau social. Un constat édifiant, qui devrait avoir des suites.

Alors que la question de son rachat annulé par Elon Musk continue d’attiser la controverse, Twitter se retrouve au coeur d’un scandale de grande ampleur, suite aux révélations de son ancien chef de la sécurité Peiter Zadko, qui a envoyé un accablant document de 200 pages à plusieurs agences gouvernementales américaines, dont le ministère de la justice, la FTC (régulateur du commerce) et la SEC (régulateur des marchés financiers).

L’ancien chef de la sécurité de Twitter dénonce les lacunes « extrêmes » du réseau social en la matière

Ce 23 août 2022, cette procédure a été rendue publique par une enquête de CNN et du Washington Post, avec l’accord de Peiter Zadko, qui se positionne comme lanceur d’alerte des lacunes « extrêmes » de Twitter en matière de sécurité informatique – posant de graves dangers pour les données des utilisateurs, mais aussi pour la sécurité des Etats-Unis et de la démocratie.

Peiter Zadko indique ainsi que des milliers d’employés (près de la moitié des effectifs de Twitter) ont la main sur les contrôles critiques de la plateforme. Ainsi, un employé du service client avait pu effacer le compte de Donald Trump, alors président des Etats-Unis !

Aucune journalisation des accès et des actions effectuées

Après l’insurrection du Capitole, Peiter Zadko aurait voulu sécuriser l’accès à la production de Twitter, pour éviter qu’un employé ne puisse manipuler le réseau social. Il s’aperçoit alors que Twitter ne dispose pas d’un environnement de développement dédié : tous les ingénieurs y ont accès, directement en production, sans journalisation des accès ou des actions effectuées.

Impossible, donc, de savoir qui a fait quoi dans l’infrastructure de la plateforme. Et cela inclut les données personnelles des utilisateurs : selon Peiter Zadko, personne ne sait ce qu’elles deviennent si un utilisateur décide de les effacer (et en particulier si elles restent stockées quelque part).

Mauvaise sécurisation des postes de travail et des serveurs

Le lanceur d’alerte indique par ailleurs que quatre postes de travail sur dix de Twitter sont mal sécurisés, et que les 500 000 serveurs du réseau social sont de véritables passoires, la moitié tournant sur des logiciels obsolètes, sans chiffrement des données au repos ni mise à jour de sécurité, et des capacités de redondance insuffisantes.

Peiter Zadko souligne ensuite la porosité de Twitter aux influences étrangères. Peu avant son départ, le gouvernement américain transmet à Twitter des preuves qu’au moins un de ses employés travaillent pour un gouvernement étranger. Un ancien manager de Twiter a d’ailleurs été condamné mi-août 2022 pour espionnage au profit de l’Arabie Saoudite.

Selon Peiter Zadko, le gouvernement indien aurait également contraint Twitter à embaucher un de ses agents, et la direction du réseau social aurait sérieusement envisagé de suivre les règles de censure réclamées par la Russie.

Twitter accuse le lanceur d’alerte de mentir, alors que c’est une légende vivante de la cybersécurité

Twitter attribue publiquement ces révélations à la rancoeur d’un employé licencié pour performances insuffisantes. Or, Peiter Zadko, plus connu sous son pseudonyme de Mudge, est un pionnier de la cybersécurité, l’un des premiers hackers éthiques de l’histoire, ayant régulièrement collaboré avec le gouvernement américain.

Il accuse Twitter de l’avoir licencié car il insistait pour alerter sur les manquements observés, et la nécessité absolue de les corriger. Il évoque plusieurs conversations avec l’actuel CEO de Twitter, Parag Agrawal (CTO quand Jack Dorsey était encore à la tête de l’entreprise qu’il a fondé) : ce dernier a tout fait pour glisser la poussière sous le tapis, et ne pas agir, tout en demandant à Peiter Zadko de donner l’illusion que des progrès avaient été faits…

Plusieurs sénateurs américains ont indiqué vouloir se saisir de l’affaire, et la porter en justice.